apacheの罠について述べましたが、
そういえばPHPにも忘れがちな設定がありますので、
今回はそれを紹介させていただきます。
php.iniには、
expose_php=on
という設定項目があります。
この状態でhttpヘッダをキャプチャしてみますと、
X-Powered-By: PHP/5.1.6
このように、PHPのバージョン情報を取得出来てしまいます。
「別にいいじゃないか」
と思われるかもしれませんが、
バージョン情報が露呈した場合、
そのバージョンに含まれるセキュリティホールをピンポイントで狙って
攻撃することが可能になってしまいます。
予防のためにも、この設定項目は、
expose_php=off
としましょう。
The following two tabs change content below.
ロゴスウェア
ロゴスウェア株式会社は、インターネットや情報技術を使って学習に革新的進化をもたらす製品を開発することを目標に、2001年7月に設立されたテクノロジー系ベンチャー企業です。
最新記事 by ロゴスウェア (全て見る)
- Amazon Linux(EC2)と PHPSTORM で Xdebug を行う - 2018年9月26日
- やらないことの合意 - 2018年6月27日
- 卒園アルバムとプロジェクトマネジメント - 2018年3月30日
Comments are closed.